${} 和 #{} 的区别,防止sql注入,#{}的模糊查询

已于 2022-03-18 12:03:10 修改
阅读量1.5k 收藏 10
点赞数 2
文章标签: java mysql mybatis
于 2021-08-09 21:53:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44958006/article/details/119544452
版权

Java模糊查询(Mybatis模糊查询相关,xml),防止sql注入

编译过程

#{} 是 占位符 :动态解析 -> 预编译 -> 执行
${} 是 拼接符 :动态解析 -> 编译 -> 执行
#{}对应的变量会自动加上单引号
${} 对应的变量不会加上单引号

分析总结:

1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为 ?,然后调用
PreparedStatement的set方法来赋值。#将传入的数据都当成一个字符串,会对自动
传入的数据加一个引号。,使用占位符的方式提高效率,可以防止sql注入。

如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username=“111”, 如果传入的值是id,则解析成的sql为where username=“id”.

2、$ 将传入的数据直接显示拼接在sql中

正常情况示例:

如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;

sql注入示例:

1.如果传入的值是 ;drop table user;
则解析成的sql为:select id, username, password, role from user where username=;drop table user;
执行完,表没了,直接裂开;

2.又或者传 shit or 1 = 1,这样就会变成:select id, username, password, role from user where username = shit or 1 = 1,相当于直接查全表,where后的条件相当于没有了!

3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。

4、$方式一般用于传入数据库对象,例如传入表名.

5、一般能用#的就别用$,若不得不使用 “ $ {xxx} ”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。

6、在MyBatis中,"$ {xxx}" 这样格式的参数会直接参与SQL编译,从而不能避免注入

攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的

参数需要我们在代码中手工进行处理来防止注入。

普通的 ${} 替换为 #{} 比较简单,下面给个模糊查询的示例:

1.${} 写法实现模糊查询

<select id="queryExample_01" resultMap = "userMap" >
    select id, nickname, email, password, create_time, phone_number
    from ex_user
    where  nickname like '%${nickname}%'
</select>

2.#{} 安全的实现模糊查询

<select id="queryExample_02" resultMap = "userMap" >
    select id, nickname, email, password, create_time, phone_number
    from ex_user
    where  nickname like concat('%',#{nickname},'%')
</select>

说明:

既能够解决sql注入又能在xml配置文件中写%的实现,可以借助mysql的 concat() 函数;上面这个示例是全模糊查询,另外,想左模糊查询,就把右边 逗号引号百分号 去掉,想右模糊查询,就把左边 引号百分号逗号 去掉;

友情链接:sql注入相关

Java牛马
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
#和$哪一个防止SQL注入
weixin_41254254的博客
06-26 2387
#可以有效的防止SQL注入 会加上“” 之后写进sql中$不能防止SQL注入 因为会直接写进sql语句中
sql语句中使用#{}与${}的区别
m0_64823170的博客
02-28 616
比如一个登录表单,攻击者在用户名字段输入 admin' --,如果后端SQL语句是。这里 -- 后面的内容被注释掉,因此SQL语句实际上忽略了密码检查。则实际执行的SQL语句变成了。
浅析SQL Server参数化查询
12-14
说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。   相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视   错误认识1.不需要防止sql注入的地方无需参数化   参数化查询是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数不用参数,为啥?多麻烦,我只是做公司内部系统不用担心SQL注入风险,使用参数化查询不是给自己找麻烦,简简单单拼SQL,万事OK   错误认识2.参数化查询时是否指定参数类型、参数长度没什么区别   以前也一直都觉的加与不加参数长度
MySQL动态标签之<where>标签,<if>标签
qq_45155769的博客
12-21 451
MySQL 中,<where>是 MyBatis 中的动态 SQL 标签之一,它用于在构建查询语句时动态地添加 WHERE 子句。这允许你根据不同的条件来构建灵活的查询语句,而不需要手动处理 WHERE 关键字和条件之间的逻辑。在 MyBatis 中,<if>标签是用于构建动态 SQL 查询语句的关键元素之一。它允许根据条件的成立与否动态地添加 SQL 语句的一部分,从而实现灵活的查询条件。
面试突击76:${} 和 #{} 有什么区别
Chenhui98的博客
08-23 390
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。来源:https://juejin.cn/post/7134865815001628702。
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 1992
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
sql映射文件中#{}和${}两者之间有什么区别
m0_46639782的博客
09-24 309
MyBatis的SQL映射文件中,#{} 和 ${} 是两种用于插入变量值的方式。
【sql语句中的符号】(通配符+#{}+${})
灵活的小胖子
08-17 8819
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。 问题: 我们的sql: select i.id, i.project_id, i.sets, i.name, i.length, i.likes, i.url, i.type, p.project_name from
彻底搞懂MyBaits中#{}和${}的区别
緑水長流*z
07-11 3718
MyBatis中${}和#{}的区别 1.1 ${}和#{}演示 数据库数据: dao接口: List<User> findByUsername(String username); List<User> findByUsername2(String username); Mapper.xml: <!-- 使用#{} --> <select id="findByUsername" parameterType="java.lang.String" resu
03-映射文件的sql语句中 #{} 和 ${} 的区别以及实现模糊查询
qq_35885612的博客
01-29 452
映射文件的sql语句中 #{} 和 ${} 区别以及实现模糊查询 sql 语句中的 #{} #{} 模糊查询错误用法 #{} 实现模糊查询 sql 语句中的 ${} ${} 实现模糊查询 #{} 与 ${} 对比 sql 语句中的 #{} 表示一个占位符号,通过 #{} 可以实现 preparedStatement 向占位符中设置值。 自动进行 java 类型和 jdbc 类型转换。 可以有效防止 sql 注入。 可以接收简单类型值或 pojo 属性值。 如果 .
SQL参数化-防SQL注入
08-30
关于SQL参数化的解释,关于参数化的一些自己的见解,参数化主要是为了防止SQL注入
通过MyBatis动态SQL完成数据库表的增、删、改、查、模糊查询..zip
04-28
Mabits的动态SQL还允许开发者使用参数化查询,可以防止SQL注入攻击,并增强程序的安全性 学习经常用的几个标签 2.标签 标签是Mabits动态SQL中最常用的一个标签之一,它的作用是根据给定条件包含或排除不同的部分,以...
楼房网-中医美容减肥查询(.NET开源)
05-01
楼房网-中医美容减肥查询 功能介绍: 1.收录数据:美容减肥抗衰老秘方554例 2.ACCESS数据库,直接使用不需要安装SQL数据库; 3.多种关键字查找,支持全文模糊查询; 4.界面清晰优美,查找...5.防止SQL注入功能。
LOUHOME全国公交线路查询.rar
07-09
0.关于楼房网:楼房网是主流房地产资讯网站,领先的在线房地产交易信息平台。 1.关于软件:423个城市,26000多条公交线路查询,更新到2009年底 2.ACCESS数据库,直接使用不需要安装SQL数据库;...5.防止SQL注入功能。
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 975
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 927
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
Lambda表达式特点
weixin_57763462的博客
04-24 897
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
Java解决最长公共前缀
最新发布
无人罪的博客
04-28 245
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
模糊查询怎么防止sql注入
03-30
模糊查询可以使用预处理语句来防止 SQL 注入。预处理语句是在执行 SQL 语句之前将查询语句和参数分开的一种技术。这样做可以让 SQL 数据库系统将查询语句和参数分开处理,从而避免 SQL 注入攻击。 例如,使用 PHP PDO 预处理语句进行模糊查询: ``` $search = "%foo%"; $stmt = $pdo->prepare("SELECT * FROM table WHERE column LIKE ?"); $stmt->execute([$search]); ``` 在这个例子中,使用了占位符 ? 来代替模糊查询中的搜索字符串,并将搜索字符串作为参数传递给 PDO::execute() 函数。这样可以避免 SQL 注入攻击,因为 PDO 会自动将参数转义,从而防止恶意输入在查询语句中执行。 另外,还可以使用过滤器函数来过滤输入参数,例如 PHP 的 filter_var() 函数。这个函数可以过滤字符串中的特殊字符,从而防止 SQL 注入攻击。例如: ``` $search = "%foo%"; $search = filter_var($search, FILTER_SANITIZE_STRING); $stmt = $pdo->prepare("SELECT * FROM table WHERE column LIKE ?"); $stmt->execute([$search]); ``` 在这个例子中,使用了 filter_var() 函数过滤了输入参数 $search,从而防止特殊字符被注入到查询语句中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值